Nel luglio 2025, un episodio ha sollevato forti preoccupazioni riguardo alla tutela della privacy nelle interazioni con strumenti di intelligenza artificiale generativa. Migliaia di conversazioni tra utenti e ChatGPT sono diventate accessibili online tramite i motori di ricerca, in particolare Google.
A causare questa esposizione non è stato un attacco hacker, bensì l’utilizzo – tecnicamente lecito ma ambiguo – della funzione “Make this chat discoverable”, presente tra le opzioni di condivisione offerte da OpenAI.
Questa funzione ha portato all’indicizzazione di contenuti privati, tra cui dati sensibili, informazioni personali, riferimenti identificativi e perfino documenti riservati. Spesso gli utenti attivavano questa funzione consapevolmente ma senza comprenderne le conseguenze, anche per via dell’assenza di un’informativa chiara ai sensi dell’art. 13 del GDPR e della mancanza di misure di sicurezza adeguate.
Le implicazioni giuridiche e il ruolo del titolare
L’incidente ha messo in luce diversi aspetti critici dal punto di vista del rispetto del Regolamento (UE) 2016/679, pur in assenza di dolo. Sono emerse infatti violazioni dei principi cardine del GDPR:
– Liceità, trasparenza, minimizzazione, integrità e riservatezza (art. 5);
– Necessità di una base giuridica inequivocabile per il trattamento dei dati (art. 6);
– Obbligo di fornire informazioni chiare e dettagliate (art. 13);
– Adozione di misure tecniche e organizzative adeguate (art. 32).
Nonostante l’utente compia l’azione di condivisione, la responsabilità di prevenire rischi spetta comunque al fornitore del servizio, in base al principio di “privacy by design” e “by default” (art. 25).
Il caso di ChatGPT ha quindi evidenziato l’importanza di:
– Integrare il rischio IA nelle valutazioni DPIA (art. 35);
– Rivedere le informative fornite agli utenti;
– Progettare interfacce che impediscano la pubblicazione non intenzionale di dati.
Il Garante italiano ha sanzionato OpenAI con una multa da 15 milioni di euro per violazioni multiple, tra cui trasparenza insufficiente, raccolta eccessiva di dati per l’addestramento dell’IA, e mancata comunicazione di data breach. Sebbene il Tribunale di Roma abbia sospeso la sanzione a marzo 2025, le indicazioni dell’Autorità restano un riferimento per tutti gli operatori del settore.
Verso una strategia di prevenzione e responsabilizzazione
Le conseguenze dell’esposizione delle chat non si limitano agli aspetti normativi: le ripercussioni sono anche reputazionali e operative. Alcune delle conversazioni rese pubbliche contenevano informazioni bancarie, dati sanitari, curriculum vitae, riferimenti fiscali e contenuti confidenziali. Anche dopo la rimozione dei link originari, tali informazioni possono restare accessibili tramite archivi di terze parti o backup dei motori di ricerca.
Le organizzazioni, in questi casi, rischiano:
– perdita di fiducia da parte di clienti e stakeholder;
– azioni legali da parte degli interessati (art. 82);
– sanzioni da parte delle autorità di controllo;
– non conformità sistemica per assenza di policy, formazione o monitoraggio.
Il GDPR richiede misure proattive (artt. 24, 25, 32). Non è sufficiente agire a posteriori: l’uso dell’IA va governato, non subito.
Le imprese devono:
– stabilire linee guida chiare per l’uso di IA e chatbot;
– mappare i dati che non devono essere trattati tramite strumenti esterni;
– avviare audit e formazione continua sul tema.
Il report della Task Force su ChatGPT dell’EDPB raccomanda un questionario interno per valutare i rischi dell’IA. Integrare questi strumenti nella strategia privacy aziendale è oggi essenziale: più del danno economico, è in gioco la fiducia dell’utente. La vera innovazione consiste nella capacità del titolare di prevedere i rischi e proteggere in modo strutturato i dati personali.